본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

문자메세지 : “OOO고객님, OO카드 연체 안내입니다”


내 이름과 이용중인 카드사가 일치한다면 이 문자를 읽지 않을 수 있을까요?


개인정보는 스미싱, 보이스피싱 등과 같은 다양한 사기행위의 재료가 됩니다.
새해가 밝자마자, 신용카드사에 보안기술을 제공하는 한 회사의 직원이 1억여건의 신용카드 회원정보를 USB에 담아 불법으로 빼돌린 혐의를 받고 구속되었습니다


1억 건이라면 역대 최대 규모로 볼 수 있는데, 올 해도 이렇게 유출된 정보들이 악용되어 얼마나 많은 스미싱과 보이스피싱이 활개치게 될지 매우 걱정됩니다.
정보를 유출한 직원은 신용카드 부정사용 방지시스템(Fraud Detection System, FDS)을 업그레이드하는 외부 직원이었습니다.
FDS란 신용카드 고객의 카드 사용패턴이 평상시와 다르거나 사용액이 급증하거나, 동시에 다른 지역에서 결제가 일어날 경우 등 비정상적인 사용 패턴을 파악하여 고객에게 이를 알리고 긴급히 사용을 중단시키는 보안 시스템입니다.
그런데 이를 설계하고 업그레이드 하는 사람 즉, 보안 전문가가 이런 짓을 저질렀다니 믿기지 않는 일입니다.


정보에 대한 접근이 쉬울 수 밖에 없고, 접근을 차단시켜서도 안 되는 내부자에 대한 보안은 오랫동안 중요한 이슈였습니다.


국내에서 일어난 많은 정보유출 사건들이 고의로 또는 실수로 내부자에 의해 발생하기도 했습니다.
보안직원이나 DB관리자 등 필요에 의해 정보를 상시 다루는 직원이라도 절차 없이 아무렇게나 접근이 가능해서는 안될 일입니다.
특히 고객의 개인정보를 다루는 업무에는 반드시 절차와 규칙이 있어야 하고, 필요한 만큼의 정보에만 접근할 수 있는 통제가 이루어져야 합니다.


여러 카드사가 동일한 회사의 FDS를 채택하고 동일인에게 컨설팅을 받았는데, 일부 카드사는 피해를 입고 일부는 자사 고객정보를 암호화시켜 놓은 덕분에 피해가 일어나지 않았다고 합니다.


신용카드 정보와 같은 고도로 민감한 정보가 내부자에 의한 침해를 예방할 수 있는 수준으로 관리되어야 하는 이유를 잘 보여주었다고 생각됩니다.